Bảo mật Wi-Fi: Bạn nên sử dụng WPA2-AES, WPA2-TKIP hay cả hai?

Tác giả sysadmin, T.Ba 13, 2023, 04:05:13 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Bảo mật Wi-Fi: Bạn nên sử dụng WPA2-AES, WPA2-TKIP hay cả hai?


Để bảo mật tối đa, bạn nên sử dụng WPA2 (AES) nếu bạn có các thiết bị cũ hơn trên mạng của mình và WPA3 nếu bạn có bộ định tuyến mới hơn và các thiết bị mới hơn hỗ trợ nó.


Bộ định tuyến Wi-Fi của bạn cung cấp các tùy chọn mã hóa như WPA2-PSK (TKIP), WPA2-PSK (AES) và WPA2-PSK (TKIP/AES) và thậm chí, nếu nó đủ hiện đại, WPA3 (AES). Nó có thể hơi khó hiểu và nếu bạn chọn sai, bạn sẽ có một mạng chậm hơn, kém an toàn hơn. Đây là những gì bạn cần biết.

1. WPA2 so với WEP, WPA và WPA3

Khi bạn đọc về bảo mật Wi-Fi, trọng tâm chính thường là loại mã hóa được sử dụng để bảo mật kết nối không dây. Rốt cuộc, điều đó có ý nghĩa bởi vì, về bản chất của bộ định tuyến Wi-Fi, tất cả các giao tiếp giữa thiết bị khách của bạn (như điện thoại thông minh hoặc máy tính xách tay của bạn) và bộ định tuyến đều được truyền qua không khí. Bất kỳ ai trong phạm vi phủ sóng của bộ định tuyến của bạn đều có thể theo dõi thông tin liên lạc đó hoặc thậm chí có quyền truy cập vào bộ định tuyến của bạn nếu kết nối không dây không an toàn.

Kết nối không dây này được bảo mật bằng các thuật toán bảo mật được thiết kế riêng cho Wi-Fi. Các thuật toán này không hoàn toàn chỉ là mã hóa (mặc dù đó là một thành phần quan trọng) mà còn bao gồm các chức năng bổ sung chi phối cách trao đổi và xác minh khóa, v.v.

Wired Equivalent Privacy (WEP), Wi-Fi Protected Access (WPA) và Wi-Fi Protected Access II (WPA2) là các thuật toán bảo mật chính bạn sẽ thấy khi thiết lập mạng không dây. Nếu có bộ định tuyến mới hơn, bạn cũng có thể thấy Wi-Fi Protected Access III (WPA3).

WEP là lâu đời nhất và đã được chứng minh là dễ bị tổn thương khi ngày càng có nhiều lỗi bảo mật được phát hiện. WPA cải thiện bảo mật nhưng hiện cũng được coi là dễ bị xâm nhập.

WPA2, mặc dù không hoàn hảo, nhưng an toàn hơn WEP hoặc WPA và là một trong những thuật toán bảo mật Wi-Fi được sử dụng rộng rãi nhất. Mạng WPA và WPA2 có thể sử dụng một trong hai giao thức mã hóa, Giao thức toàn vẹn khóa tạm thời (TKIP) và Tiêu chuẩn mã hóa nâng cao (AES). Chúng ta sẽ xem xét sự khác biệt giữa hai giao thức mã hóa đó trong giây lát.

Cuối cùng, mạng WPA3 chỉ sử dụng giao thức mã hóa AES. Mặc dù được giới thiệu vào năm 2018, WPA3 vẫn chưa được áp dụng rộng rãi.

2. AES so với TKIP

TKIP và AES là hai loại mã hóa khác nhau có thể được sử dụng bởi mạng Wi-Fi. TKIP thực sự là một giao thức mã hóa cũ hơn được giới thiệu với WPA để thay thế mã hóa WEP rất không an toàn vào thời điểm đó. TKIP thực sự khá giống với mã hóa WEP. TKIP không còn được coi là an toàn và hiện không được dùng nữa. Nói cách khác, bạn không nên sử dụng nó.

AES là một giao thức mã hóa an toàn hơn được giới thiệu cùng với WPA2. AES cũng không phải là một tiêu chuẩn tồi được phát triển riêng cho mạng Wi-Fi. Đó là một tiêu chuẩn mã hóa nghiêm túc trên toàn thế giới thậm chí còn được chính phủ Hoa Kỳ thông qua.

Ví dụ: khi bạn  mã hóa ổ đĩa cứng bằng TrueCrypt, nó có thể sử dụng mã hóa AES cho việc đó. Công cụ mã hóa tích hợp sẵn của Window BitLocker cũng sử dụng AES, cũng như công cụ FileVault của macOS. AES thường được coi là khá an toàn và điểm yếu chính là  các cuộc tấn công vũ phu  (ngăn chặn bằng cách sử dụng cụm mật khẩu mạnh) và  điểm yếu bảo mật trong các khía cạnh khác của WPA2.

Phiên bản ngắn gọn là TKIP là một tiêu chuẩn mã hóa cũ hơn được tiêu chuẩn WPA sử dụng. AES là một giải pháp mã hóa Wi-Fi mới hơn được sử dụng bởi tiêu chuẩn WPA2 mới và an toàn. Về lý thuyết, đó là kết thúc của nó. Tuy nhiên, tùy thuộc vào bộ định tuyến của bạn, chỉ  chọn WPA2  có thể không đủ tốt.

Mặc dù WPA2 được cho là sử dụng AES để bảo mật tối ưu, nhưng nó cũng có thể sử dụng TKIP, nơi cần có khả năng tương thích ngược với các thiết bị cũ. Ở trạng thái như vậy, các thiết bị hỗ trợ WPA2 sẽ kết nối với WPA2 và các thiết bị hỗ trợ WPA sẽ kết nối với WPA. Vì vậy, "WPA2" không phải lúc nào cũng có nghĩa là WPA2-AES. Tuy nhiên, trên các thiết bị không có tùy chọn "TKIP" hoặc "AES" hiển thị, WPA2 thường đồng nghĩa với WPA2-AES.

3. Giải thích về các chế độ bảo mật Wi-Fi: Bạn nên sử dụng chế độ nào?


Bối rối chưa? Đừng cảm thấy tồi tệ nếu bạn đang có. Thế giới bảo mật Wi-Fi khá phức tạp nếu bạn không phải là người đam mê mạng. Rất may, bạn không cần phải hiểu những điều phức tạp về cách các giao thức bảo mật và bắt tay thay đổi giữa tất cả các thế hệ Wi-Fi.

Bạn chỉ cần xem lại danh sách của chúng tôi bên dưới và chọn tùy chọn an toàn nhất hoạt động với tất cả phần cứng và thiết bị của bạn. Để giúp bạn tránh các tùy chọn cũ hơn và không an toàn, chúng tôi đã gắn cờ [Không dùng nữa] sau tên của chúng.

Và rõ ràng là chúng tôi không tùy tiện canh giữ các giao thức này và tuyên bố chúng không được dùng nữa dựa trên ý kiến của chúng tôi. Cả Microsoft và Apple cũng đã chỉ định chúng như vậy, đó là lý do tại sao máy tính xách tay Windows của bạn cảnh báo bạn khi mạng Wi-Fi không an toàn và iPhone của bạn cảnh báo bạn khi mạng Wi-Fi có bảo mật yếu.

Ngoài ra, chúng tôi chưa liệt kê các tùy chọn "Doanh nghiệp" trong danh sách bên dưới vì bảo mật Wi-Fi dựa trên máy chủ RADIUS hoặc Doanh nghiệp không phổ biến trong cài đặt dân cư và yêu cầu cơ sở hạ tầng bổ sung.

Hơn nữa, xin lưu ý rằng tùy thuộc vào bộ định tuyến của bạn, các tùy chọn không dành cho Doanh nghiệp có thể được chỉ định là "Cá nhân" hoặc "PSK"—PSK là viết tắt của "Khóa chia sẻ trước" và cho biết rằng, không giống như thiết lập Doanh nghiệp, bảo mật không' không dựa vào máy chủ xác thực mà thay vào đó, người dùng có khóa chia sẻ trước ( mật khẩu Wi-Fi ) để nhập làm phương thức xác thực của họ. Bắt đầu với WPA2 và đặc biệt là với WPA3, người ta thường thấy "Cá nhân" thay vì "PSK".

Với những lưu ý đó, đây là các tùy chọn mà bạn có thể thấy trên bộ định tuyến của mình.

  • Mở [Không dùng nữa] : Các mạng Wi-Fi mở không có cụm mật khẩu. Bạn không nên thiết lập mạng Wi-Fi mở—nghiêm túc mà nói,  bạn có thể bị cảnh sát phá cửa.
  • WEP 64 [Không dùng nữa] : Chuẩn giao thức WEP cũ dễ bị tấn công và bạn không nên sử dụng nó.
  • WEP 128 [Không dùng nữa] : Đây là WEP nhưng có kích thước khóa mã hóa lớn hơn. Nó không thực sự ít bị tổn thương hơn WEP 64.
  • WPA-PSK (TKIP) [Không dùng nữa] : Cái này sử dụng phiên bản gốc của giao thức WPA (về cơ bản là WPA1). Nó đã được thay thế bởi WPA2 và không an toàn.
  • WPA-PSK (AES) [Không dùng nữa] : Cái này sử dụng giao thức WPA gốc nhưng thay thế TKIP bằng mã hóa AES hiện đại hơn. Nó được cung cấp như một giải pháp tạm thời, nhưng các thiết bị hỗ trợ AES hầu như sẽ luôn hỗ trợ WPA2, trong khi các thiết bị yêu cầu WPA hầu như sẽ không bao giờ hỗ trợ mã hóa AES. Vì vậy, tùy chọn này có rất ít ý nghĩa.
  • WPA2-PSK (TKIP) [Không dùng nữa] : Cái này sử dụng tiêu chuẩn WPA2 hiện đại với mã hóa TKIP cũ hơn. Điều này không an toàn và chỉ là một ý tưởng hay nếu bạn có các thiết bị cũ hơn không thể kết nối với mạng WPA2-PSK (AES).
  • WPA2-PSK (AES) : Đây là tùy chọn an toàn nhất (ngoài WPA3 mới hơn). Tùy chọn này sử dụng WPA2, tiêu chuẩn mã hóa Wi-Fi mới nhất và giao thức mã hóa AES mới nhất. Bạn nên sử dụng tùy chọn này trừ khi bộ định tuyến của bạn hỗ trợ WPA3—khi đó hãy sử dụng tùy chọn đó.  Trên một số thiết bị, bạn sẽ chỉ thấy tùy chọn "WPA2" hoặc "WPA2-PSK". Nếu bạn làm như vậy, nó có thể sẽ chỉ sử dụng AES, vì đó là lựa chọn thông thường.
  • WPA/WPA2-PSK (TKIP/AES) : Một số thiết bị cung cấp—và thậm chí khuyến nghị—tùy chọn chế độ hỗn hợp này. Tùy chọn này kích hoạt cả WPA và WPA2, với cả TKIP và AES. Điều này cung cấp khả năng tương thích tối đa với bất kỳ thiết bị cổ nào mà bạn có thể có, nhưng nó cũng cho phép kẻ tấn công xâm phạm mạng của bạn bằng cách bẻ khóa các giao thức WPA và TKIP dễ bị tấn công hơn.
  • WPA2/WPA3 Personal(AES) : Giống như WPA/WPA2 kết hợp, chế độ này được thiết kế để tương thích ngược. Các thiết bị chỉ hỗ trợ WPA2 của bạn sẽ kết nối bằng WPA2 (AES) và các thiết bị WPA3 của bạn sẽ sử dụng giao thức nâng cao hơn. Nó cũng có thể được gắn nhãn là "Chuyển tiếp WPA3" hoặc một biến thể của nó.
  • WPA3 Personal (AES) : Các bộ định tuyến cũ hơn không có WPA3 và các thiết bị cũ hơn không thể sử dụng WPA3. Nhưng nếu bạn có một bộ định tuyến mới hỗ trợ WPA3 và tất cả các thiết bị mới hơn, thì không có lý do gì để không chuyển hoàn toàn sang WPA3.

Chứng nhận WPA2 có sẵn vào năm 2004. Năm 2006, chứng nhận WPA2 trở thành bắt buộc. Bất kỳ thiết bị nào được sản xuất sau năm 2006 có logo "Wi-Fi" đều phải hỗ trợ mã hóa WPA2. Chứng nhận WPA3 đã có vào năm 2018 và bất kỳ thiết bị nào được chứng nhận sau ngày 1 tháng 7 năm 2020 đều phải hỗ trợ WPA3. (Xin lưu ý rằng việc sử dụng thiết kế đã được chứng nhận và không được sản xuất, một công ty vẫn có thể sản xuất và bán thiết kế cũ hơn đã được chứng nhận trước khi áp dụng tiêu chuẩn mới.)

Vì rất có thể mọi thiết bị Wi-Fi trên mạng của bạn (bao gồm cả bộ định tuyến) đã được chứng nhận và sản xuất sau năm 2006, không có lý do gì bạn không nên sử dụng bất kỳ giao thức bảo mật nào bên dưới WPA2-PSK (AES). Bạn sẽ có thể chọn tùy chọn đó trong bộ định tuyến của mình và không gặp sự cố nào.

Nếu bạn có bộ định tuyến mới hơn hỗ trợ WPA3, chúng tôi khuyên bạn nên dùng thử WPA3 (AES) để chuyển sang mức bảo mật cao nhất. Nếu bạn gặp bất kỳ sự cố nào, hãy chuyển sang WPA2/WPA3 Hybrid (AES). Bằng cách này, các thiết bị mới nhất sẽ sử dụng bảo mật tốt nhất và các thiết bị cũ hơn sẽ quay trở lại WPA2—cả hai cách, chúng sẽ sử dụng AES, đây là điều lý tưởng.

Nếu bạn không có bộ định tuyến mới hơn, có lẽ đã đến lúc tái chế nó và nâng cấp lên bộ định tuyến Wi-Fi hiện tại với các tiêu chuẩn cập nhật và tất cả các cải tiến Wi-Fi đi kèm. Bạn không cần phải mua một mẫu Wi-Fi 7 tiên tiến, nhưng đây là thời điểm tuyệt vời để chuyển sang Wi-Fi 6 hoặc Wi-Fi 6E nếu bạn chưa có.

4. WPA và TKIP sẽ làm chậm Wi-Fi của bạn

Có thể bạn đã đọc đến đây và nghĩ, "Tôi không thực sự quan tâm nhiều đến vấn đề bảo mật." Mặc dù chúng tôi khuyến khích bạn quan tâm nhiều hơn đến bảo mật mạng Wi-Fi, nhưng chúng tôi hiểu rằng đó không phải là ưu tiên cấp bách đối với tất cả mọi người.

Vì vậy, đây là lý do thuyết phục để sử dụng các thuật toán bảo mật Wi-Fi tốt hơn mà mọi người đều có thể sử dụng được. Các tùy chọn tương thích WPA và TKIP không chỉ xấu từ quan điểm bảo mật. Chúng cũng có thể làm chậm mạng Wi-Fi của bạn.

Khi bạn chạy WPA/TKIP trên bộ định tuyến hỗ trợ 802.11n và các tiêu chuẩn mới hơn, nhanh hơn, nó sẽ giảm tốc độ xuống 802.11g (54 Mb/giây) để đảm bảo khả năng tương thích ngược với các máy khách cũ hơn. Đó là đau khổ chậm.

Để so sánh, ngay cả 802.11n (Wi-Fi 4) cũng hỗ trợ tốc độ lên tới 300 Mb/giây nếu bạn đang sử dụng WPA2 với AES. Tuy nhiên, hầu hết mọi người đều có bộ định tuyến mới hơn. Nếu bạn có bộ định tuyến 802.11ac (Wi-Fi 5) hoặc 802.11ax (Wi-Fi 6) và bạn đang sử dụng WPA/TKIP, thì bạn đang để lại một lượng lớn hiệu suất trên bàn.

Trong các thế hệ Wi-Fi, 802.11g về cơ bản là "Wi-Fi 2" và ra mắt vào năm 2003. Không có lý do chính đáng nào để sử dụng một tiêu chuẩn bảo mật Wi-Fi không an toàn, lỗi thời và chậm.

5. Khi nghi ngờ, hãy luôn chọn WPA 2 (AES) hoặc WPA3

Chúng tôi đã nói điều đó nhiều lần cho đến nay, nhưng đây là lần cuối cùng để nhấn mạnh. Nếu bạn không chắc nên chọn cài đặt nào trên bộ định tuyến của mình, hãy luôn chọn cài đặt an toàn nhất và đối với bất kỳ tuyến đường nào được thực hiện sau năm 2010 trở đi, đó là WPA 2 (AES) hoặc WPA 3.

Trên hầu hết các bộ định tuyến mà chúng tôi đã thấy được chứng nhận trước năm 2018, các tùy chọn thường là WEP, WPA (TKIP) và WPA2 (AES)—có thể có chế độ tương thích WPA (TKIP) + WPA2 (AES) để đo lường tốt. Nếu đây là những gì bộ định tuyến cung cấp cho bạn, hãy đặt bộ định tuyến của bạn thành WPA2 (AES).

Trên các bộ định tuyến được chứng nhận sau năm 2018 (đặc biệt là sau hạn chót ngày 1 tháng 7 năm 2020), bạn sẽ tìm thấy các chế độ tương thích WPA3 và WPA2/WPA3. Chúng tôi thực sự khuyên bạn nên thử chế độ WPA3 thuần túy. Nếu mọi thứ hoạt động, tuyệt vời! Bạn đang sử dụng thiết lập bảo mật Wi-Fi tốt nhất có thể. Nếu bạn thấy có một vài mục quan trọng cũ hơn trong nhà của mình (chẳng hạn như bộ điều nhiệt Wi-Fi) không hoạt động tốt với WPS thì hãy quay lại chế độ tương thích WPA2/WPA3.

Nhưng bất kể bạn làm gì, đã đến lúc tạm gác tất cả các giao thức bảo mật Wi-Fi kém hơn như WEP, WPA và WPA2 (TKIP) mãi mãi.